警察庁サイバー犯罪報告:「パスワードの甘さ」につけ込んだ不正アクセスが最多

2020/06/11

cyber_top.jpg

全国の警察組織のトップである中央官庁・警察庁は、2020年3月に「令和元年におけるサイバー空間をめぐる脅威の情勢等について」と題する文書(ならび統計情報)を発表しました。

この中で、パスワードの甘さに付け込んだ不正アクセスが急増している現状について報告がなされています。

 

 

警察が分類するサイバー犯罪とは

cyber_1.jpg

一般的に、インターネット経由で行われる犯罪すなわち「サイバー犯罪」と認識されていますが、具体的にサイバー犯罪とはどのような犯罪が含まれるのか、以下で説明します。

 cybercrime_graph1.png

  • 不正アクセス禁止法違反
    • いわゆる不正アクセス。正当なアクセス権限がないのに、他者のアカウントにアクセスを行うこと自体や、不正アクセスを通じて利益を得ることなどを指す。
  • 不正指令電磁的記録に関する罪
    • コンピュータウイルスを作成、提供、供用、取得、保管ならび、ウイルスでコンピュータやデータを不正に操作することなどを指す。
  • コンピュータ・電磁的記録対象犯罪
    • コンピュータ上の記録を操作して利益を得る、他人が所有する電磁的記録(クレジットカード、プリペイドカードなど)を利用して利益を得ることなどを指す。
  • 児童買春・児童ポルノ法違反
    • インターネット経由での児童買春。ならび未成年のポルノの所持や頒布などを行うことなどを指す。
  • 詐欺
    • インターネット経由で詐欺を行うことなどを指す。
  • 著作権法違反
    • インターネット経由で、著作権を持たない著作物の配布、販売等を行うことなどを指す。
  • その他
    • 上記に分類されないもの。

最も多いのが「その他」ですが、次いで多いのが「児童買春・児童ポルノ法違反」、「詐欺」、「不正アクセス防止法違反」という順番となりますが、「不正アクセス防止法違反」以外は、一般的な犯罪がたまたまインターネット経由で行われたもので、インターネット外でも成立する犯罪です。これに対して、「不正アクセス防止法違反」はインターネットがなければ成立しない、純粋なサイバー犯罪といってよいでしょう。

 

 

2019年の不正アクセス禁止法違反について

cyber_2.jpg

上記の分類の中で、この5年間で急成長しているのが「不正アクセス禁止法違反」の検挙件数です。2015年に373件だった件数が、2019年には816件と2倍以上に増加しています。

警察庁の資料では、「2019年の不正アクセス禁止法違反の事件数は全部で何件あったか」については記載されていません。しかし、2019年のインターネットバンキングからの不正送金件数(事件数)だけで1,872件を超えており、全国の警察の年間検挙件数である816件を大幅に上回っていることが判明しています。

この数字から推測するに、警察は大多数の不正アクセス事案を検挙できていないのが実情でしょう。犯人が検挙されなければ、民事裁判での損害賠償は不可能かつ、刑事裁判で犯人に刑を問うことすら望めません。まさに「不正アクセス被害は、完全なやられ損」といってよい状況です。

 

 

なぜ不正アクセスが成功しているか

cyber_3.jpg

多くの企業やオンラインサービスでは、不正アクセスを防ぐ仕組みが導入されています。それにも関わらず、不正アクセスが多数起こっている大きな理由は「パスワード管理」です。

パスワードを利用しての不正アクセスでは、最も多かったのが「パスワードの設定・管理の甘さ」が原因で、全体の39.5%を占めています。パスワードの設定・管理の甘さとは、言い換えると「パスワードの使い回し」や「類推しやすいパスワードの利用」などと考えられます。

次いで多かったのが「他人からの(パスワードの)入手」で、これは23.2%となっています。パスワードを気軽にやり取りした結果、勝手に物品等の購入に使われた、といったケースです。

「パスワードの設定・管理の甘さ」の39.5%と、「他人からの(パスワードの)入手」の23.2%、この2つを防ぐだけで、パスワードを利用した不正アクセスの62.7%を防ぐことができるのです。そして、防ぐ方法は「管理体系の変更」と「二要素認証(二段階認証)」の併用が鍵となります。

 

 

不正アクセスを防ぐ手段としてのトラスト・ログイン

cyber_4.jpg

個人におけるパスワードの管理は、各個人の良識に任せるしかありませんが、組織におけるパスワードの管理は「従業員の良識に任せる」だと危険すぎるのが実情です。

従業員がどのようなパスワードを設定するかを、組織が完全にコントロールできないため、「個人で使っているサービスのパスワードを、業務で使っているサービスでそのまま使い回しているが、組織は全く把握していない」といった例は数多くあるでしょう。結果、個人で使っているサイトからパスワードが漏えいして、業務で使っているサービスに不正アクセスが行われ、被害を受ける結果となります。

これを防ぐためには、「組織のサービスで使うパスワードを、従業員に管理させない」という管理体系の変更が必要です。トラスト・ログインのようなクラウド型ID管理サービス (IDaaS) を利用することで、業務で利用するパスワードを全て一元管理し、従業員にはパスワードを教えずにログインさせることが可能となります。つまり、パスワードの使い回しを100%防ぐことができるとともに、パスワードを他人に教える行為も不可能となります。

パスワードの運用の変化に加えて、二要素認証の導入も効果的です。例えば、正しいパスワードが入力された後に、あらかじめ登録されたスマートフォンに表示される文字列を入力しないとログインできない、といった仕組みです。この場合、単にパスワードという文字列を当てるだけでなく、対応するスマートフォンにも侵入するか、スマートフォン本体を盗む必要があります。こうなると、不正アクセスのハードルは一気に上がります。

当社は、パスワードの集中管理や二要素認証を提供するID管理プラットフォーム「トラスト・ログイン」を提供しており、国内外の5,000以上のサービスで利用可能です。ぜひ資料請求頂き、不正アクセスの防止にお役立てください。